适用场景
适用于处理中国境内用户、员工或合作伙伴个人信息的出海企业及跨国公司,特别是在涉及数据跨境传输、搭建全球数据合规体系阶段的企业。
核心要点
1. 长臂管辖与处理者责任
法律不仅管辖境内活动,若境外处理行为旨在向境内自然人提供产品服务或分析其行为,同样受管辖。企业作为决定处理目的和方式的“处理者”,需承担主要法律责任,与GDPR的“控制者”概念类似。
2. 重构“告知-同意”规则
收集处理数据需遵循“告知-同意”核心原则,但在应对突发公共卫生事件等法定情形下可豁免。若涉及不满14周岁儿童数据、敏感个人信息或向第三方提供数据,必须取得监护人同意或个人的“单独同意”,并额外告知处理必要性。
3. 数据出境与本地化要求
数据出境需满足通过网信部门安全评估、取得认证或签订标准合同三项条件之一,并获取用户单独同意。处理数据达到特定量级的企业必须将数据本地化存储,且原则上只能通过安全评估途径出境。
4. 应对境外执法机构调取数据
面对境外司法或执法机构的数据调取要求,企业绝不能擅自配合提供境内数据。必须事先向中国主管机关申请并获得审批,否则将面临严重的违法风险。
5. 顶格处罚与过错推定
违法成本极高,罚款可达五千万元或上一年度营业额的5%,且执法中可能按集团总营收计算基数。此外,侵权纠纷中采取“过错推定”原则,企业需自行举证已尽到安全保护义务才能减轻或免除责任。
实务建议
- 开展全面的数据资产盘点(Data Mapping),摸清企业收集、存储、共享和跨境传输的数据现状,识别合规差距。
- 升级隐私政策与前端交互设计,针对敏感信息收集、数据出境、第三方共享等场景,设置专门的弹窗或页面以获取用户的“单独同意”。
- 建立常态化的内部数据合规体系,任命个人信息保护负责人(DPO),制定应急预案,并定期开展员工安全培训与合规演练。
- 审慎评估全球服务器部署架构,若境内业务数据需传输至境外服务器,应提前规划并落实网信办安全评估、标准合同等出境合法性基础。
风险提示
- 切勿认为服务器设在海外或主体在境外就能豁免管辖,只要业务涉及境内自然人即受约束。
- 警惕“一揽子同意”陷阱,敏感数据和数据出境必须剥离出来获取单独授权,否则视为无效同意。
- 跨国企业在应对海外诉讼或监管调查时,切忌直接将境内服务器数据提交给境外机构,必须先过国内审批关。
- 不要侥幸通过复杂的集团架构来规避罚款,监管在计算“5%营业额”罚款时,极有可能穿透至整个企业集团的营收。